LFCE: võrguteenuste installimine ja automaatse käivitamise seadistamine käivitamisel - 1. osa

Linux Foundationi sertifitseeritud insener (LFCE) on valmis installima, konfigureerima, haldama ja tõrkeotsinguks võrguteenuseid Linuxi süsteemides ning vastutab süsteemi arhitektuuri kujundamise ja juurutamise eest.

Tutvustame Linux Foundationi sertifitseerimisprogrammi.

Selles 12-artiklises seerias, mille pealkiri on Ettevalmistus LFCE (Linux Foundation Certified Engineer) eksamiks, käsitleme Ubuntu, CentOS ja openSUSE nõutavaid domeene ja pädevusi:

Võrguteenuste installimine

Mis tahes võrguteenuste seadistamisel ja kasutamisel on raske ette kujutada stsenaariumi, milles Linux ei saaks olla osa. Selles artiklis näitame, kuidas järgmisi võrguteenuseid Linuxi installida (iga konfiguratsiooni käsitletakse tulevastes eraldi artiklites):

1. NFS (võrgu failisüsteemi) server
2. Apache veebiserver
3. Kalmaari puhverserver + SquidGuard
4. meiliserver (Postfix + Dovecot) ja
5. Iptables

Lisaks tahame veenduda, et kõik need teenused käivitatakse automaatselt käivitamisel või nõudmisel.

Peame arvestama, et isegi kui saate kõiki neid võrguteenuseid käitada ühes füüsilises masinas või virtuaalses privaatserveris, käsib võrgu turvalisuse üks esimesi nn "" reegleid "süsteemiadministraatoritel vältida tehes seda nii palju kui võimalik. Mis on otsus, mis seda väidet toetab? See on üsna lihtne: kui mingil põhjusel rikutakse võrguteenust masinas, mis töötab rohkem kui ühte neist, võib ründajal olla suhteliselt lihtne kompromissile minna ka ülejäänud.

Nüüd, kui peate tõesti samasse masinasse installima mitu võrguteenust (näiteks testlaboris), lubage kindlasti, et lubate ainult need, mida vajate, ja keelake need hiljem.

Enne alustamist peame selgitama, et praegune artikkel (koos ülejäänud sarjadega LFCS ja LFCE ) on keskendunud jõudluspõhisele vaatenurgale ja ei saa seega uurige kõiki teoreetilisi üksikasju käsitletud teemade kohta. Tutvustame siiski lähtepunktina igat teemat vajaliku teabega.

Järgmiste võrguteenuste kasutamiseks peate tulemüüri esialgu keelama, kuni õpime vastava liikluse lubamist tulemüüri kaudu.

Pange tähele, et seda EI soovitata tootmise seadistamisel, kuid me teeme seda ainult õppimise eesmärgil.

Ubuntu vaikeinstallimisel ei tohiks tulemüür olla aktiivne. OpenSUSE ja CentOS-is peate selle selgesõnaliselt keelama:

# systemctl stop firewalld
# systemctl disable firewalld 
or
# or systemctl mask firewalld

Nagu öeldud, alustame!

NFS on iseenesest võrguprotokoll, mille uusim versioon on NFSv4 . Seda versiooni kasutame kogu selle sarja vältel.

NFS-server on traditsiooniline lahendus, mis võimaldab Linuxi kaugklientidel ühendada oma aktsiad üle võrgu ja suhelda nende failisüsteemidega nii, nagu oleksid need kohapeal ühendatud, võimaldades võrgu salvestusressursse tsentraliseerida.

# yum update && yum install nfs-utils

# aptitude update && aptitude install nfs-kernel-server

# zypper refresh && zypper install nfsserver

Täpsemate juhiste saamiseks lugege meie artiklit, mis räägib NFS-serveri ja kliendi konfigureerimisest Linuxi süsteemides.

Apache veebiserver on HTTP-serveri kindel ja usaldusväärne FOSS-i rakendus. 2014. aasta oktoobri lõpu seisuga haldab Apache 385 miljonit saiti, mis annab talle turust 37,45% . Apache abil saate teenindada iseseisva veebisaidi või mitu virtuaalset hostit ühes masinas.

# yum update && yum install httpd		[On CentOS]
# aptitude update && aptitude install apache2 		[On Ubuntu]
# zypper refresh && zypper install apache2		[On openSUSE]

Täpsemate juhiste saamiseks lugege meie järgmisi artikleid, mis näitavad, kuidas luua IP-põhiseid ja nimepõhiseid Apache'i virtuaalseid hoste ja kuidas Apache'i veebiserverit turvata.

1. Apache IP-põhine ja nimepõhine virtuaalne hostimine
2. Apache veebiserveri karastamise ja turvalisuse näpunäited

Kalmaar on puhverserver ja veebivahemik deemon ja toimib sellisena vahendajana mitme kliendiarvuti ja Interneti (või Internetiga ühendatud ruuteri) vahel, kiirendades samal ajal sagedasi taotlusi veebisisu vahemällu salvestades ja DNS-i eraldusvõime samaaegselt. Seda saab kasutada ka teatud URL-idele juurdepääsu keelamiseks (või lubamiseks) võrgusegmentide kaupa või keelatud märksõnade põhjal ning see hoiab kõigi välismaailmaga loodud ühenduste kohta logifaili kasutaja kohta.

Squidguard on ümbersuunaja, kes rakendab kalmaaride parandamiseks musti nimekirju ja integreerub sellega sujuvalt.

# yum update && yum install squid squidGuard			[On CentOS] 
# aptitude update && aptitude install squid3 squidguard		[On Ubuntu]
# zypper refresh && zypper install squid squidGuard 		[On openSUSE]

Postfix on postiveo agent (MTA). See on rakendus, mis vastutab e-kirjade suunamise ja edastamise eest allikast sihtpostiserveritesse, samas kui dovecot on laialdaselt kasutatav IMAP- ja POP3-e-posti server, mis tõmbab MTA-st sõnumeid ja toimetab need õigesse kasutaja postkasti.

Saadaval on ka mitme relatsioonilise andmebaasi haldussüsteemi Dovecoti pistikprogrammid.

# yum update && yum install postfix dovecot 				[On CentOS] 
# aptitude update && aptitude postfix dovecot-imapd dovecot-pop3d 	[On Ubuntu]
# zypper refresh && zypper postfix dovecot				[On openSUSE]	

Mõne sõnaga on tulemüür võrguressurss, mida kasutatakse juurdepääsuks privaatvõrgule või privaatvõrgule ning sissetuleva ja väljuva liikluse suunamiseks teatud reeglite alusel.

Iptables on Linuxis vaikimisi installitud tööriist, mis toimib netfilter kerneli mooduli eesseadmena, mis vastutab lõplikult tulemüüri juurutamise eest pakettide filtreerimise/ümbersuunamise ja võrguaadressi tõlkimise funktsioonide teostamiseks.

Kuna iptables on vaikimisi Linuxi installitud, peate ainult veenduma, et see tegelikult töötab. Selleks peaksime kontrollima, kas iptablesi moodulid on laaditud:

# lsmod | grep ip_tables

Kui ülaltoodud käsk ei tagasta midagi, tähendab see, et moodulit ip_tables pole laaditud. Sel juhul käivitage mooduli laadimiseks järgmine käsk.

# modprobe -a ip_tables

Loe ka : Linuxi Iptablesi tulemüüri põhijuhend

Teenuste automaatse käivitamise seadistamine käivitamisel

Nagu arutati jaotises Süsteemi käivitamise protsessi ja teenuste haldamine - kümnest artiklist koosneva seeria 7. osa LFCS sertifikaadi kohta, on Linuxis saadaval mitu süsteemi- ja teenusehaldurit. Mis iganes teie valik oleks, peate teadma, kuidas võrguteenuseid nõudmisel käivitada, peatada ja uuesti käivitada ning kuidas võimaldada nende automaatset käivitamist.

Saate kontrollida, mis on teie süsteemi- ja teenushaldur, käivitades järgmise käsu:

# ps --pid 1

Sõltuvalt ülaltoodud käsu väljundist kasutate ühte järgmistest käskudest, et konfigureerida, kas iga teenus peaks käivitamisel käivituma automaatselt või mitte:

----------- Enable Service to Start at Boot -----------
# systemctl enable [service]

----------- Prevent Service from Starting at Boot -----------
# systemctl disable [service] # prevent [service] from starting at boot

----------- Start Service at Boot in Runlevels A and B -----------
# chkconfig --level AB [service] on 

-----------  Don’t Start Service at boot in Runlevels C and D -----------
# chkconfig --level CD service off 

Veenduge, et skript /etc/init/[service].conf on olemas ja sisaldab minimaalset konfiguratsiooni, näiteks:

# When to start the service
start on runlevel [2345]
# When to stop the service
stop on runlevel [016]
# Automatically restart process in case of crash
respawn
# Specify the process/command (add arguments if needed) to run
exec /absolute/path/to/network/service/binary arg1 arg2

Samuti võite soovida kontrollida LFCS-sarja osa 7 (millele me just viitasime selle jaotise alguses), kas on muid kasulikke käske võrguteenuste nõudmisel haldamiseks.

Kokkuvõte

Nüüdseks peaksid kõik käesolevas artiklis kirjeldatud võrguteenused olema installitud ja võib-olla töötama vaikekonfiguratsiooniga. Hilisemates artiklites uurime, kuidas neid vastavalt meie vajadustele konfigureerida, nii et jälgige kindlasti! Ja jagage julgelt selle artikli kohta oma kommentaare (või postitage küsimusi, kui teil on küsimusi), kasutades allolevat vormi.

1. LFCE kohta
2. Miks saada Linux Foundationi sertifikaat?
3. Registreeru LFCE eksamile